Sieci wirtualne VLAN – cz. I
Transkrypt
Sieci wirtualne VLAN – cz. I
Sieci wirtualne VLAN – cz. I Dzięki zastosowaniu sieci VLAN można ograniczyć ruch rozgłoszeniowy do danej sieci VLAN, tworząc tym samym mniejsze domeny rozgłoszeniowe. Przykładowo celu zaimplementowania przypisania do sieci VLAN zastosowano przyporządkowanie fizyczne portów. . Porty P0, P1 i P4 zostały przypisane do sieci VLAN 1. Porty P2, P3 i P5 należą do sieci VLAN 2 Dom ena ro z g ło s z e n io w a V LAN 1 R o u te r P 4 I B M C o m p a t ib le Dom ena ro z g ło s z e n io w a V LAN 2 P 2 P 5 P 0 I B M C o m p a t ib le S w it c h P 1 I B M C o m p a t ib le P 3 I B M C o m p a t ib le Sieci wirtualne VLAN – cz. II Technologia VLANów polega na grupowaniu portów switchy, MAC adresów stacji lub numerów w podramce IEEE 802.1q na rozdzielne podzbiory. Komunikacja między sieciami VLAN 1 i VLAN 2 może odbywać się tylko za pośrednictwem routera. Dzięki temu ogranicza się rozmiar domeny rozgłoszeniowej i wykorzystuje się router w celu ustalenia, czy sieć VLAN 1 może porozumieć się z siecią VLAN 2. Sieci wirtualne VLAN – cz. III Celem segmentacji sieci lokalnej na VLANy jest: stworzenie w ramach jednej fizycznej sieci obszarów, które nie będą dostępne z pozostałych jej części, dla podniesienia bezpieczeństwa informacji w nich zgromadzonych i przesyłanych, ograniczenie przestrzeni broadcastowych; przy zwiększaniu tych przestrzeni rośnie w całej sieci liczba danych o charakterze technicznym, które w skrajnym wypadku mogą spowodować wzrost obciążenia switchy, gdyż proces replikacji pakietów broadcastowych dla wysłania ich wszystkimi portami jest procesem pochłaniającym znaczne zasoby. S e r w is H an d el K ad ry I B M C o m p a t ib le P o z io m 3 I B M C o m p a t ib le H ub I B M C o m p a t ib le P o z io m 2 I B M C o m p a t ib le R o u te r H ub I B M C o m p a t ib le I B M C o m p a t ib le P o z io m 1 H ub I B M C o m p a t ib le I B M C o m p a t ib le I B M C o m p a t ib le Sieci wirtualne VLAN – cz. IV Przy podjęciu decyzji na temat ewentualnego podziału sieci na VLANy, należy wziąć pod uwagę następujące fakty: W sieciach VLAN bazujących na portach przypisujemy każdy port przełącznika do określonej sieci VLAN. Ważne jest, żeby przyporządkowanie portu do sieci VLAN zgadzało się z przypisaniem przyłączonego do niego hosta do określonej podsieci Zastosowanie hubów ogranicza możliwość definiowania VLANów opartych na topologii sieci a nie na MAC adresach. Transmisja danych między VLANami możliwa jest przez routery, które posiadają ograniczoną przepustowość. Próby nadzorowania ruchu między VLANami pociągają za sobą dodatkowe obciążenie tych urządzeń i efektywne zmniejszenie ich przepustowości. Z drugiej strony, zezwolenie na ruch między VLANami bez ograniczeń powoduje rezygnację z jednej z najważniejszych cech VLANów. Podział sieci LAN na podsieci – cz. I Urządzenia warstwy trzeciej (warstwy sieci), takie jak routery, mogą być stosowane w celu tworzenia unikatowych segmentów sieci LAN i umożliwienia komunikacji między segmentami w oparciu o adresowanie warstwy trzeciej, na przykład adresowanie IP. Zastosowanie urządzeń warstwy trzeciej, takich jak routery, pozwala na podzielenie sieci LAN na niezależne sieci fizyczne i logiczne. Routery pozwalają także na nawiązanie połączeń z sieciami rozległymi (WAN ang. Wide Area Network), takimi jak Internet. Cele jakie powinno się postawić przy projektowaniu warstwy trzeciej sieci LAN: utworzyć między segmentami sieci LAN ścieżkę, filtrującą przepływ pakietów danych, odseparować transmisje rozgłoszeniowe, np. protokołu ARP, odseparować kolizje między segmentami. Podział sieci LAN na podsieci – cz. II Liczba bitów Liczba hostów w Format kropkowa dziesiętny Liczba sieci 0 255.255.255.0 1 254 1 255,255.255.128 2 126 2 255.255.255.192 4 62 3 255.255.255.224 8 30 4 255.255.255.240 16 14 5 255.255.255.248 32 6 6 255.255.255.252 64 2 w masce podsieci Dzielenie sieci na podsieci. każdej sieci Tworzenie podsieci za pomocą masek podsieci. Przykładowe granice podsieci. R o u te r S w it c h S w it c h S w it c h S ie ć 1 S ie ć 2 S ie ć 3 Podsieć Adres sieciowy Adres rozpowszechniania Zakres adresów hosta 0 192.157.12.0 192.157.12.31 192.157.12.1 – 192.157.12.30 1 192.157.12.32 192.157.12.63 192.157.12.33 – 192.157.12.62 2 192.157.12.64 192.157.12.95 192.157.12.65 – 192.157.12.94 3 192.157.12.96 192.157.12.127 192.157.12.97. – 192.157.12.126 4 192.157.12.128 192.157.12.159 192.157.12.129 – 192.157.12.158 5 192.157.12.160 192.157.12.191 192.157.12.161 – 192.157.12.190 6 192.157.12.192 192.157.12.223 192.157.12.193 – 192.157.12.222 7 192.157.12.224 192.157.12.255 192.157.12.223 – 192.157.12.254 Zadania protokołów tunelowania • Zestawienie połączenia (tunelu) między klientem a serwerem • Enkapsulacja oryginalnych pakietów • Zastosowanie metod szyfrowania i autentykacji przesyłanych danych • Kontrola i sterowanie połączeniem • Dekapsulacja przesyłanych pakietów Podział protokołów tunelowania Protokół PPP Główne składniki: ● ● ● metody kapsułkowania datagramów wieloprotokołowych protokół LCP (Link Control Protocol) – zarządzanie stanami łącza (otwarcie, utrzymanie i zamknięcie) oraz negocjowanie opcji łącza zbiór protokołów NCP (Network Control Protocols) obsługujące protokoły warstwy wyższej Połączenia PPP 1. Zarządzanie fizycznym połączeniem (LCP) – wybór sposobu autoryzacji oraz możliwości kompresji i szyfrowania (1,2). 2. Faza identyfikacji (3). 3. Konfiguracja parametrów ustanowionych w fazie pierwszej (NCP) (4,5). 4. Przesyłanie datagramów otrzymanych z warstwy wyższej (6). 5. Zamykanie połączenia. Metody autoryzacji PPP – cz. I • PAP (Password Authentication Protocol) – Serwer żąda nazwy użytkownika oraz hasła – Hasła przesyłane w sposób nieszyfrowany – Niedostateczne bezpieczeństwo danych • CHAP (Challange-Handshake Authentication Protocol) – Serwer wysyła wezwanie autentykacji o zawartości Session ID i losowego ciągu znaków – Klient generuje (MD5 ) wartość skrótu używając Session ID, losowego ciągu znaków i hasła i wraz z User ID odsyła – Serwer generuje wartość skrótu na podstawie tych samych danych, porównując z nadesłanymi Metody autoryzacji PPP – cz. II • MS-CHAP (Microsoft CHAP) • – Modyfikacja CHAP – Wykorzystanie algorytmu MD4 – Klient wysyła w celu autoryzacji jedynie skrót hasła – Serwer przechowuje obliczony skrót hasła EAP – Zapewnia największy poziom bezpieczeństwa autentykacji – Elastyczny – Możliwość korzystania z tokenów, haseł jednorazowych, certyfikatów, kluczy publicznych z użyciem kart inteligentnych Protokół PPTP • Rozszerzenie PPP • Pozwala wysyłać nie tylko pakiety IP ale również IPX, NetBEUI • Szerokie zastosowanie w Internecie jak i prywatnych sieciach korporacyjnych • Zawiera mechanizmy szyfrowania oparte o algorytm RSA Pakiet PPTP • • • • • Aplikacja kliencka generuje dane przeznaczone do wysłania. Oprogramowanie PPTP szyfruje je i/lub kompresuje, a następnie dopisuje do nich nagłówek PPP. Do powstałej ramki PPTP dopisywany jest jest kolejny nagłówek, tym razem GRE – zapewnia transport między dwoma końcami tunelu Pakiet PPTP jest przekazywany pod kontrolę stosu TCP/IP i otrzymuje nagłówek IP. Datagram umieszczany jest w ramce łącza danych, której format określa architektura warstwy fizycznej. Połączenia PPTP • Połączenie i komunikacja z dostawcą usług poprzez PPP, który ustala łącze i szyfruje pakiety przenoszące dane • Sterowanie połączeniem PPTP – tworzenie drugiego połączenia od klienta PPTP do serwera PPTP przy wykorzystaniu wiadomości sterujących zawartych w segmentach TCP • Tunelowanie danych – tworzenie datagramów IP, zawierających zaszyfrowane pakiety i przesyłanie ich przez tunel do serwera PPTP Protokół L2F • • • • • • Standard Cisco Umożliwia przesyłanie ramek PPP między routerami Autentykacja za pomocą CHAP i EAP Umożliwia tworzenie wielu tuneli Tworzy wirtualne połączenia dial-up p2p Obsługuje sieci IP, FR, X.25, ATM Protokół L2TP • Połączenie protokołów PPTP i L2F. • Obsługuje nie tylko sieci IP ale również X.25, Frame Relay, ATM. • Stosuje dwa typy wiadomości: danych i sterujących. • Może obsługiwać wiele tuneli. • Umożliwia kompresję nagłówka • Korzysta z mechanizmów IPSec do szyfrowania danych Połączenia L2TP Budowa pakietu L2TP Protokół IPSec • Podstawowy protokół szyfrujący warstwy 3 OSI używany w VPN • Wbudowany w IPv6 • Obsługuje jedynie protokół IP • Zapewnia integralność i poufność danych • Przezroczysty dla protokołów warstw wyższych Elementy składowe IPSec • Internet Key Exchange (IKE) – służy do negocjacji parametrów połączenia i obsługuje wymianę kluczy oraz naprawę i zamykanie połączenia. • Encapsulated Security Payload (ESP) – zapewnia szyfrowanie i ochronę integralności danych (dane warstwy wyższej, bez nagłówka IP), pracuje w dwóch trybach. • Authentication Header (AH) – zapewnia autentykację danych, zarówno enkapsulowanego protokołu warstwy wyższej, jak i części nagłówka IP, ochroną objęte są te pola nagłówka które nie ulegają zmianie podczas wędrówki przez sieć. Tryby pracy IPSec Tryb transportowy - chroni protokoły i aplikacje wyższych warstw - używany wyłącznie w sieciach lokalnych Tryb tunelowy - chroni cały datagram IP - przenosi ruch generowany przez wielu klientów Tryb pracy ESP w IPSec – cz. I – Tryb transportowy: ● w datagramie z nagłówkiem ESP umieszczany jest pakiet warstwy transportowej, ● jest oszczędniejszy, gdyż nie wymaga szyfrowania nagłówka IP Tryb pracy ESP w IPSec – cz. II – Tryb tunelowy: ● ● ● odszukuje klucz szyfrowania i zaszyfrowuje nim oryginalny datagram zawierający nagłówek ESP, a następnie umieszcza go w datagramie z jawnym nagłówkiem, odbiorca usuwa jawny nagłówek, odszukuje klucz, a następnie deszyfruje datagram ESP, tryb tunelowania zapewnia przeźroczystość dla użytkownika oraz uniemożliwia postronnemu obserwatorowi stwierdzenia między jakimi adresami IP ustanowiony jest tunel Tryby pracy AH w IPSec Tryby pracy: – Transportowy: nagłówek AH umieszczony pomiędzy nagłówkiem IP a TCP. Pozostaje oryginalny nagłówek IP. – Tunelowy: tworzony jest nowy nagłówek IP, chroniony jest cały pakiet łącznie z oryginalnym nagłówkiem IP. Porównanie protokołów tunelujących Serwery VPN a sieci LAN – cz. I Serwer VPN może znajdować się przed firewallem i mieć bezpośrednie połączenie z Internetem lub między siecią lokalną a „ścianą ogniową”. Uruchomienie serwera VPN przed firewallem wymaga odpowiedniego skonfigurowania filtrowania pakietów, tak aby przepuszczane były tylko pakiety z i do kanału VPN. Po odszyfrowaniu pakietów serwer VPN przekazuje je do firewalla, który pozwoli na ich transport do wewnętrznej sieci. Ruch przychodzący z serwera VPN jest generowany tylko przez uwierzytelnionych klientów, dlatego filtrowanie na zaporze może być użyte do ochrony przed ich dostępem do niektórych specjalnych zasobów wewnętrznych. Z drugiej strony, ponieważ dowolny ruch z Internetu musi przejść przez serwer VPN, można w ten sposób ograniczyć dostęp do intranetowych usług FTP lub WWW tylko do użytkowników VPN Serwery VPN a sieci LAN – cz. II Znacznie częściej spotykaną konfiguracją jest umieszczenie serwera VPN za ścianą ogniową w tzw. strefie zdemilitaryzowanej (DMZ – ang. Demilitarized Zone). W takiej konfiguracji serwer VPN ma jedną kartę sieciową połączoną ze strefą DMZ, a drugą z intranetem. Ponieważ oprogramowanie ściany ogniowej nie używa algorytmów szyfrujących, ani nie zna wykorzystywanych przez VPN kluczy, może jedynie filtrować i przetwarzać zewnętrzne nagłówki tunelowanych pakietów. Oznacza to, że w rzeczywistości wirtualny tunel przebiega również przez firewall. Nie osłabia to jednak bezpieczeństwa, gdyż połączenie VPN wymaga autoryzacji.